Внутренний контроль обработки персональных данных в 2026: чек-лист по ст. 18.1 152-ФЗ

Внутренний контроль соответствия обработки персональных данных требованиям 152-ФЗ — обязанность оператора по части 2 статьи 18.1 152-ФЗ. Это регулярная проверка того, что фактическая обработка ПДн в организации соответствует:

• Принципам и условиям обработки ПДн (ст. 5-13 152-ФЗ)
• Принятым в организации документам (политика обработки, регламенты, инструкции)
• Изменениям законодательства (420-ФЗ от 30.11.2024, 589-ФЗ, ст. 272.1 УК РФ и др.)
• Уведомлению в Роскомнадзор (ст. 22 152-ФЗ)

Внутренний контроль — это не просто формальность. Это важнейший доказательный механизм при проверках Роскомнадзора: если организация регулярно проводит контроль и фиксирует это документально, шансы получить штраф снижаются, а размер санкций — уменьшается (наличие системы внутреннего контроля учитывается как смягчающее обстоятельство).

Отсутствие внутреннего контроля — самостоятельное нарушение по ч. 1 ст. 13.11 КоАП РФ: штраф для юрлиц по новой редакции 420-ФЗ — до 60 000 ₽. Но реальный риск выше: при отсутствии контроля Роскомнадзор автоматически считает, что и остальные требования не соблюдаются, и проверка превращается в максимально неблагоприятную.

По ч. 2 ст. 18.1 152-ФЗ — все операторы персональных данных без исключений. Это:

• Государственные и муниципальные органы
• Юридические лица всех форм собственности
• Индивидуальные предприниматели
• Физические лица — операторы (например, авторы сайтов с формами обратной связи)

Не имеет значения: коммерческая или некоммерческая организация, есть ли у вас ИСПДн или вы обрабатываете ПДн только на бумажных носителях, обрабатываете 10 субъектов или 10 миллионов. Если вы — оператор ПДн по 152-ФЗ, то внутренний контроль обязателен.

Кто внутри организации отвечает за контроль

• Ответственный за обработку ПДн — назначается приказом руководителя по ст. 22.1 152-ФЗ. Он организует внутренний контроль
• Ответственный за безопасность ПДн — для УЗ-3 и выше (отдельная роль)
• Внутренняя комиссия — в крупных организациях. Состав: представители ИБ, ИТ, юридического отдела, HR
• Внешний DPO или консультант — для организаций без штатного специалиста по 152-ФЗ. Контроль через аутсорсинг

Принципиальное правило: аудитор не должен проверять собственную работу. Поэтому ответственный за обработку ПДн не может одновременно быть единственным проверяющим. В малых организациях применяется перекрёстная проверка: ИТ-специалист проверяет работу юриста, юрист — работу ИТ.

Внутренний контроль охватывает все аспекты обработки ПДн в организации. На основе ст. 18.1 152-ФЗ и сложившейся практики Роскомнадзора выделяем 7 ключевых направлений.

Направление 1. Документация по обработке ПДн

• Актуальность политики обработки ПДн (по 12 разделам ст. 18.1)
• Подача и актуальность уведомления в Роскомнадзор
• Приказы о назначении ответственных за обработку и безопасность ПДн
• Положение об обработке ПДн, регламенты, инструкции
• Модель угроз и акт определения уровня защищённости (для ИСПДн)

Направление 2. Согласия на обработку ПДн

• Наличие согласий по каждому правовому основанию (договор, закон, согласие)
• Соответствие согласий новым требованиям (1.09.2024 — запрет на универсальные согласия)
• Хранение подписанных форм согласий
• Регламент обработки отзывов согласий через Госуслуги

Направление 3. Меры защиты ПДн

• Применение организационных мер: инструктажи, разграничение доступа, контроль выноса данных
• Применение технических мер: антивирус, шифрование, межсетевые экраны
• Соответствие СЗИ требованиям по уровню защищённости (Приказ ФСТЭК №21)
• Действующие сертификаты ФСТЭК на используемые СЗИ

Направление 4. Договорная работа с обработчиками

• Договоры поручения обработки ПДн с подрядчиками (хостинг, рассылки, CRM)
• Дополнительные соглашения с действующими контрагентами
• Реестр обработчиков с указанием обрабатываемых ПДн и оснований
• Контроль соблюдения подрядчиками условий договоров

Направление 5. Работа с инцидентами

• Регламент реагирования на инциденты (24/72 часа уведомления РКН по 420-ФЗ)
• Журнал инцидентов за период
• Уведомления Роскомнадзора об инцидентах в установленные сроки
• Внутренние расследования и принятые меры

Направление 6. Сайт и онлайн-формы

• Наличие политики конфиденциальности на сайте по прямой ссылке
• Cookie-баннер с реальной возможностью отказа
• Чекбоксы согласия на формах (без предустановленных галочек)
• Отсутствие зарубежных трекеров (Google Analytics, Meta Pixel) или их легальная замена
• Локализация серверов хостинга в РФ

Направление 7. Обучение сотрудников

• Инструктажи при приёме на работу и ежегодные повторные
• Подписанные обязательства о неразглашении
• Журнал обучения с подписями сотрудников
• Тестирование знаний по 152-ФЗ (рекомендуется ежегодно)

152-ФЗ не устанавливает жёсткую периодичность, но обязывает оператора проводить контроль «регулярно». На практике сложилось следующее:

• Полный аудит — не реже 1 раза в год. Все 7 направлений, документальная фиксация результатов. Это базовый стандарт, ожидаемый Роскомнадзором
• Экспресс-проверка — ежеквартально. Проверка ключевых пунктов: сайт, формы согласий, обращения субъектов, сроки хранения. Занимает 1-2 часа
• Внеплановый контроль — при триггерах: инциденты безопасности, утечки ПДн, изменения в законодательстве, внедрение новых информационных систем, организационные изменения (слияние/разделение, новый руководитель), запросы и обращения субъектов ПДн

Что фиксируется по результатам контроля

• Акт о проведении внутреннего контроля — формальный документ, утверждённый руководителем
• Перечень выявленных несоответствий с указанием приоритета (критичное, среднее, рекомендация)
• План устранения нарушений с дедлайнами и ответственными
• Контрольные мероприятия — отдельный план для проверки исполнения корректирующих действий

Акт о проведении контроля — это ключевой документ для проверок Роскомнадзора. Он подтверждает, что в организации действует система контроля, а не только декларируется.

Современный внутренний контроль не требует ручной проверки каждого пункта — большинство задач автоматизируется.

Инструменты, доступные бесплатно

• Бесплатный сканер сайта /audit — 25+ проверок за 15 секунд: политика, согласия, cookies, трекеры, локализация, реестр РКН. Используйте ежеквартально
• Проверка уведомления РКН — по ИНН за 5 секунд: вы в реестре операторов, актуальны ли данные
• Чек-лист 152-ФЗ — интерактивный чек-лист 30 пунктов для самооценки
• Калькулятор уровня защищённости — определение УЗ для ИСПДн с подбором мер по Приказу ФСТЭК №21

Инструменты в платной подписке

• Конструктор документов — генерация и обновление пакета ОРД (политика, согласия, регламенты, журналы) под актуальное законодательство
• Шаблон акта внутреннего контроля — типовая форма с разделами по всем 7 направлениям
• Журнал учёта контрольных мероприятий — фиксация дат, исполнителей, результатов
• Напоминания о периодичности — система автоматически напомнит о ежегодном/ежеквартальном контроле

Создать комплект документов для внутреннего контроля и провести самопроверку можно через конструктор Кибероснова Документы. Все шаблоны учитывают редакцию 420-ФЗ и 589-ФЗ 2025 года, статью 272.1 УК РФ, новые правила трансграничной передачи.

На основе анализа практики 2024-2025 годов выделяем топ-10 нарушений, которые наиболее часто выявляются при внутреннем контроле и грозят штрафами:

1. Согласия по старым формам (нарушение запрета 1.09.2024 на универсальные согласия) — штраф до 700 000 ₽ по ч.2 ст.13.11 КоАП в ред. 420-ФЗ
2. Уведомление РКН не обновлено после изменений (новые цели обработки, новые системы, смена ответственного) — штраф до 300 000 ₽ по ч.10 ст.13.11 КоАП
3. Сотрудники не подписали обязательства о неразглашении — основание для отклонения исков о разглашении при инцидентах
4. Хранение ПДн дольше необходимого срока — нарушение принципа ограничения сроков обработки (ст. 5 152-ФЗ)
5. Договоры поручения отсутствуют с подрядчиками, обрабатывающими ПДн (хостинг, рассылки, CRM, бухгалтерия)
6. Регламент реагирования на инциденты не учитывает 24/72 часа — обязательно с 1.09.2025
7. На сайте остались Google Analytics, Meta Pixel или другие зарубежные трекеры — штраф до 6 000 000 ₽ по ч.8 ст.13.11 КоАП
8. Cookie-баннер без реальной кнопки отказа — нарушение разъяснений РКН от 01.09.2023
9. Расходы на ИБ менее 0,1% от выручки — упущенное смягчающее обстоятельство по ч.12 ст.13.11 КоАП (важно для случая утечки)
10. Отсутствие журналов учёта (доступа к ПДн, носителей, инструктажей, инцидентов)

Каждое из этих нарушений может стать основанием для штрафа при проверке Роскомнадзора. Регулярный внутренний контроль выявляет их заранее и позволяет устранить до прихода проверки.

Внутренний контроль — это процесс, а не разовое мероприятие. Кибероснова — SaaS-платформа, которая делает контроль регулярным и автоматическим: сканер сайта, актуальные шаблоны документов, напоминания о периодичности, аудит-логи всех изменений.

Сравнение способов организации внутреннего контроля

Чем Кибероснова отличается

• 6 регуляторных областей в одной подписке — внутренний контроль автоматически охватывает 152-ФЗ, ФСТЭК Приказы №21, №117 (с 1.03.2026), №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
• Единый цикл: сканер → конструктор → акты — обнаружение нарушений → генерация документов для устранения → акт внутреннего контроля с фиксацией результатов. Без переключения между сервисами.
• Аудит-логи всех действий — каждое изменение документов фиксируется с датой, автором, версией. Идеальная база доказательств для проверки Роскомнадзора.
• Multi-org для холдингов — один аккаунт работает на все юрлица.
• Услуга «Внутренний контроль под ключ» — для организаций без штатного DPO: контроль проводится экспертом с использованием нашей платформы.

Запишитесь в лист ожидания Кибероснова Документы — бесплатный доступ для подготовки регламента внутреннего контроля и проведения первой проверки.